DPIA (Data Protection Impact Assessment, eli tietosuojan vaikutustenarviointi) ei ole aina pakollinen tekoälyratkaisun käyttöönotossa, mutta se on tehtävä, jos henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille. Tämä koskee erityisesti tilanteita, joissa:

• Käsitellään arkaluonteisia (erityisiin henkilötietoryhmiin kuuluvia) henkilötietoja kuten terveystiedot, etnisyys, poliittiset mielipiteet.
• Käytetään tekoälyäratkaisua, joka voi vaikuttaa merkittävästi yksilön kuten asiakkaan tai työntekijän saamiin palveluihin/etuuksiin/oikeuksiin.
• Tietoja profiloidaan automaattisesti tai tehdään päätöksiä ilman ihmisen osallistumista.
• Tietoja siirretään EU:n/ETA:n ulkopuolelle.
• Käsittely on laajamittaista tai kohdistuu haavoittuvassa asemassa oleviin henkilöihin.

Arviointi tehdään tapauskohtaisesti: Rekisterinpitäjän vastuulla on arvioida, aiheuttaako suunniteltu käsittely korkean riskin.

DPIA tukee myös EU:n tekoälyasetuksen vaatimusten täyttämistä, erityisesti suuririskisten järjestelmien osalta.

DPIA auttaa tunnistamaan ja hallitsemaan riskejä, joita henkilötietojen käsittely voi aiheuttaa, erityisesti kun käytetään uusia teknologioita kuten tekoälyä.

Tarkemmat ohjeet DPIA:n laatimiseen löytyvät Tietosuojavaltuutetun toimiston nettisivuilta

Pohdi ja kuvaa alla olevia asioita:

1. Käsittelyn kuvaus

• Mikä on tekoälyratkaisun tarkoitus?
• Mitä henkilötietoja käsitellään?
• Mistä tiedot kerätään ja miten?
• Mikä taho toimii rekisterinpitäjä (=järjestämisvastuussa oleva toimielin kuten kaupungin jokin lautakunnista) ja mahdolliset yhteisrekisterinpitäjät?
• Kuka toimii henkilörekisterin vastuuhenkilönä ja onko häntä infottu suunnitellusta tekoälyratkaisun käyttöönotosta?
• Yleensä vastuuhenkilön nimitieto löytyy organisaation tietosuojaselosteilta
• Onko mukana henkilötietojen käsittelijöitä (esim. ICT-palveluntarjoajat tai muut ulkoistuskumppanit)?

2. Tarpeellisuus ja oikeusperusta

• Mikä on käsittelyn oikeusperusta (esim. suostumus, sopimus, lakisääteinen velvoite)?
• Onko käsittely tarpeellista ja tarkoituksenmukaista suhteessa tavoitteisiin?

3. Riskien arviointi

• Voiko käsittely aiheuttaa korkean riskin rekisteröidyn oikeuksille ja vapauksille?
• Käytetäänkö automaattista päätöksentekoa tai profilointia?
• Käsitelläänkö arkaluonteisia tietoja?
• Kohdistuuko käsittely haavoittuvassa asemassa oleviin henkilöihin?
• Siirretäänkö tietoja EU/ETA-alueen ulkopuolelle?

4. Vaikutukset rekisteröityihin

• Onko kyseessä suuririskinen tekoälyjärjestelmä (lue EU:n tekoälyasetus)
• Miten tekoälyratkaisu vaikuttaa yksilöihin (esim. päätöksenteko, syrjintä, profilointi)?
• Onko olemassa riski virheellisistä tai harhaanjohtavista päätöksistä?

5. Riskien hallinta

• Mitä teknisiä ja organisatorisia suojatoimia on käytössä?
• Onko toteutettu tietoturva-auditointi?
• Onko suunniteltu vaikutusten lieventämistoimia (esim. ihmisen osallistuminen päätöksentekoon)?

6. Rekisteröityjen oikeudet

• Miten rekisteröity voi käyttää oikeuksiaan (esim. tarkastusoikeus, oikaisu, vastustaminen)?
• Onko olemassa mekanismi päätösten perustelujen antamiseen?

7. Dokumentointi ja seuranta

• Onko DPIA dokumentoitu asianmukaisesti?
• Onko arviointi päivitetty tarvittaessa (esim. teknologian muuttuessa)?
• Onko DPIA:n tulokset ja toimenpiteet käsitelty sisäisesti?